フィッシング攻撃は進化を続け、より巧妙になっています。ユーザー名とパスワードを対象とした最新のものは、古い学校に行くことを選択し、モールス信号を使用して、電子メールフィルターシステムやその他のセキュリティ対策を回避します。
Microsoftは最近、フィッシング攻撃を明らかにしました。モールス信号やその他の暗号化方法などの手段に加えて、攻撃を隠し、検出を回避します。攻撃者グループは、将来の侵害の試みに備えてクレデンシャルを盗んだフォームを配布する手段として、ExcelHTMLまたはWebドキュメントの請求書を使用しました。
最近のブログ投稿、Microsoft Security Intelligenceは、次のように述べています。「HTML添付ファイルは、パスワードを盗むために使用されるJavaScriptファイルを含むいくつかのセグメントに分割され、さまざまなメカニズムを使用してエンコードされます。これらの攻撃者は、プレーンテキストのHTMLコードの使用から、モールス信号などの古くて珍しい暗号化方法を含む複数のエンコード手法を使用して、これらの攻撃セグメントを非表示に移行しました。」
「事実上、添付ファイルはジグソーパズルに匹敵します。:それ自体では、HTMLファイルの個々のセグメントはコードレベルで無害に見える可能性があり、したがって従来のセキュリティソリューションをすり抜ける可能性があります。これらのセグメントがまとめられ、適切にデコードされた場合にのみ、悪意のある意図が示されます」とブログ投稿は追加しました。
Microsoftは、このXLS.HTMLフィッシングキャンペーンの調査に1年以上費やしてきました。攻撃者は、約37日ごとに難読化と暗号化のメカニズムを変更し、検出されないまま操作を実行し続けるスキルと高い動機を証明しました。
「2月の反復では、JavaScriptファイルへのリンクがエンコードされました。次にモールス信号でASCIIを使用します。一方、5月には、モールス信号を使用してHTMLコード全体がエンコードされる前に、フィッシングキットのURLのドメイン名がEscapeでエンコードされました。」
フィッシング攻撃の主な目的は、ユーザーのログイン資格情報を収集することでしたが、また、ユーザーの場所やIPアドレスなど、将来の攻撃で使用する予定の利益データも簡単に収集しました。 Microsoftは、「このフィッシングキャンペーンは、攻撃者がHTMLファイルをエンコードしてセキュリティ制御をバイパスするのにかかる長さにおいて独特です。」
「XLS.HTMLフィッシングキャンペーンは、ソーシャルエンジニアリングを使用して、通常の金融関連の電子メールを作成します。商取引、具体的にはベンダーの支払いアドバイスと思われるものを送信します。」このキャンペーンは、ランサムウェアよりも儲かる詐欺である「ビジネスメール侵害」カテゴリの攻撃に分類されます。
Excelスプレッドシートの添付ファイルなどの派手さの少ない方法を使用し、ユーザーを偽のMicrosoft Office365にリダイレクトします。たとえば、会社のロゴが表示された資格情報ログインページでは、多くのユーザーが攻撃で危険信号を発して資格情報を入力する可能性が低くなります。
お気軽に
